ラドウェア、IPSアプライアンスの「免疫」に似た検出機能を強化
脆弱性を狙わない攻撃への対処は?
2009/07/28
「今後は、脆弱性を悪用する攻撃に代わり、正当な形でリクエストを行ってくる非脆弱性ベースの攻撃が増え、脅威となるだろう」――イスラエル・ラドウェアのセキュリティ製品担当副社長、アビ・チェスラ氏は、7月28日に開催した説明会の中で、今後の攻撃の傾向についてこのように述べた。
チェスラ氏によると、既知の脆弱性を狙う攻撃は検出しやすいし、シグネチャの作成も比較的容易だ。これに対し、ボットによるDoS攻撃の多くは、一見すると正当なIPアドレスからやってくる通常のWebアクセスに見える。このため、攻撃トラフィックと通常のユーザーによるアクセスとの区別が困難だ。従来はこうしたDoS攻撃がやってきたら、帯域全体を絞るといった形で対処することが多かったが、それでは正当なユーザーにも影響が及んでしまう。
ラドウェアでは、IPSアプライアンス製品「DefenseProシリーズ」に搭載している「DefensePro APSolute Immunity」機能によって、この課題を解決すると同氏は説明した。
DefensePro APSolute Immunityは、「人間の免疫機構をまねたもの」(同氏)といい、クライアントやサーバ、ネットワークの挙動を監視し、振る舞い検知によって不審なトラフィックを検出する。攻撃であると判断した際は防御のためのシグネチャをリアルタイムに自動生成し、攻撃パターンが変化すればそれに応じてシグネチャを調整し、攻撃が終了すれば削除する。
「普通のユーザーならば、一定の順番に則ってWebページにアクセスしてくる。しかし、人工的な攻撃の場合は、そういったシーケンスロジックに沿わない」(チェスラ氏)。統計分析やこういった異常なトラフィックを特定し、接続先を限定することで、一般のユーザーに影響を与えることなくDoS攻撃に対処するという。
この仕組みは、パッチやシグネチャが提供されるまでの数時間足らずの間に拡散する、同社のいう「ゼロミニット攻撃」への対処にも有効だという。
ラドウェアではDefensePro APSolute Immunityを、IPSアプライアンス製品のDefenseProシリーズに搭載して提供する。同社は先日、DefenseProシリーズのラインアップを改めており、最大12Gbpsのパフォーマンスを実現するフラグシップモデル「DefensePro 12412」を筆頭に、3モデル、8製品を販売。データセンターやサービスプロバイダー、大規模企業向けに提供していく。参考価格は、1Gbps対応の「DefensePro 1016」が824万円、4Gbps対応の「同4412」が1694万円などで、ライセンスキーの購入により同一モデルでのアップグレードも可能だ。
関連リンク
関連記事
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
